测试VPD的policy group

最新推荐文章于 2022-09-08 17:08:56 发布
最新推荐文章于 2022-09-08 17:08:56 发布
阅读量253 收藏
点赞数
分类专栏: orale 文章标签: oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgz7747147820/article/details/112884215
版权

首先创建一个测试表,插入一些测试数据

23:49:47 SQL> create table t_policy_group_1(group_a_col1 varchar2(20),group_a_col2 varchar2(20),group_b_col1 varchar2(20),group_b_col2 varchar2(20));

Table created.

Elapsed: 00:00:00.05

23:50:41 SQL> insert into t_policy_group_1 values('group_a_row1','group a 20210120','group_b_row1','group b 202101221522');

1 row created.

Elapsed: 00:00:00.01

23:53:33 SQL> insert into t_policy_group_1 values('group_a_row2','group a 1553','group_b_row2','group b 1554');

1 row created.

Elapsed: 00:00:00.00
23:54:03 SQL> commit;

Commit complete.

Elapsed: 00:00:00.00

23:56:54 SQL>  exec dbms_rls.create_policy_group(object_schema=>'pdbadmin',object_name=>'t_policy_group_1',policy_group=>'policy_group_a');

PL/SQL procedure successfully completed.

Elapsed: 00:00:00.04
23:56:59 SQL>  exec dbms_rls.create_policy_group(object_schema=>'pdbadmin',object_name=>'t_policy_group_1',policy_group=>'policy_group_b');

PL/SQL procedure successfully completed.

Elapsed: 00:00:00.01

create or replace function vpd_group_a(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'PDBADMIN' then
		predicate_var := '1=2';
	elsif sys_context('userenv','session_user') = 'HR_MANAGER' then
		predicate_var :='1=2';
	end if;
	return predicate_var;
end vpd_group_a;
/


create or replace function vpd_group_b(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'PDBADMIN' then
		predicate_var := '1=2';
	elsif sys_context('userenv','session_user') = 'HR_MANAGER' then
		predicate_var :='1=2';
	end if;
	return predicate_var;
end vpd_group_b;
/

如果像上面这样创建两个policy function,则最终的测试结果是这样

06:30:24 SQL> select * from pdbadmin.t_policy_group_1;

G G G G
- - - -



Elapsed: 00:00:00.01

create or replace function vpd_group_a(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'PDBADMIN' then
		predicate_var := '1=2';

	end if;
	return predicate_var;
end vpd_group_a;
/


create or replace function vpd_group_b(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'HR_MANAGER' then
		predicate_var :='1=2';
	end if;
	return predicate_var;
end vpd_group_b;
/

像上面这样创建的policy function,则功能就是正常的

06:32:04 SQL> select * from pdbadmin.t_policy_group_1;

GROUP_A_COL1	     GROUP_A_COL2	  G G
-------------------- -------------------- - -
group_a_row1	     group a 20210120
group_a_row2	     group a 1553

Elapsed: 00:00:00.01




00:15:00 SQL> create or replace context vpd_group_ctx using vpd_group_ctx_pkg;

Context created.

Elapsed: 00:00:00.01

create or replace package vpd_group_ctx_pkg is
procedure set_group;
end vpd_group_ctx_pkg;
/

create or replace package body vpd_group_ctx_pkg is
procedure set_group
as
begin
	case sys_context('userenv','session_user')
		when 'PDBADMIN' then
			dbms_session.set_context('vpd_group_ctx','pgroup','policy_group_a');
		when 'HR_MANAGER' then
			dbms_session.set_context('vpd_group_ctx','pgroup','policy_group_b');
	end case;

end set_group;
end vpd_group_ctx_pkg;
/

00:31:13 SQL>  exec dbms_rls.add_policy_context(object_schema=>'pdbadmin',object_name=>'t_policy_group_1',namespace=>'vpd_group_ctx',attribute=>'pgroup');

PL/SQL procedure successfully completed.

Elapsed: 00:00:00.02

添加这种grouped policy的时候不能使用static,应该使用context sensitive类型的policy

00:42:13 SQL>  exec dbms_rls.add_grouped_policy(object_schema=>'pdbadmin',object_name=>'t_policy_group_1',policy_group=>'policy_group_a',policy_name=>'policy_a',function_schema=>'sys',policy_function=>'vpd_group',policy_type=>dbms_rls.static,sec_relevant_cols=>'group_b_col1,group_b_col2',sec_relevant_cols_opt=>dbms_rls.all_rows,namespace=>'vpd_group_ctx',attribute=>'pgroup');
BEGIN dbms_rls.add_grouped_policy(object_schema=>'pdbadmin',object_name=>'t_policy_group_1',policy_group=>'policy_group_a',policy_name=>'policy_a',function_schema=>'sys',policy_function=>'vpd_group',policy_type=>dbms_rls.static,sec_relevant_cols=>'group_b_col1,group_b_col2',sec_relevant_cols_opt=>dbms_rls.all_rows,namespace=>'vpd_group_ctx',attribute=>'pgroup'); END;

*
ERROR at line 1:
ORA-28146: invalid operation for policy "POLICY_A"
ORA-06512: at "SYS.DBMS_RLS_INT", line 296
ORA-06512: at "SYS.DBMS_RLS", line 287
ORA-06512: at line 1


Elapsed: 00:00:00.06

00:50:16 SQL>  exec dbms_rls.add_grouped_policy(object_schema=>'pdbadmin',object_name=>'t_policy_group_1',policy_group=>'policy_group_a',policy_name=>'policy_a',function_schema=>'sys',policy_function=>'vpd_group',policy_type=>dbms_rls.context_sensitive,sec_relevant_cols=>'group_b_col1,group_b_col2',sec_relevant_cols_opt=>dbms_rls.all_rows,namespace=>'vpd_group_ctx',attribute=>'pgroup');

PL/SQL procedure successfully completed.

Elapsed: 00:00:00.05


00:51:13 SQL>  exec dbms_rls.add_grouped_policy(object_schema=>'pdbadmin',object_name=>'t_policy_group_1',policy_group=>'policy_group_b',policy_name=>'policy_b',function_schema=>'sys',policy_function=>'vpd_group',policy_type=>dbms_rls.context_sensitive,sec_relevant_cols=>'group_a_col1,group_a_col2',sec_relevant_cols_opt=>dbms_rls.all_rows,namespace=>'vpd_group_ctx',attribute=>'pgroup');

PL/SQL procedure successfully completed.

Elapsed: 00:00:00.00


create or replace function vpd_group_a(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'PDBADMIN' then
		predicate_var := '1=2';
	elsif sys_context('userenv','session_user') = 'HR_MANAGER' then
		predicate_var :='1=2';
	end if;
	return predicate_var;
end vpd_group_a;
/


create or replace function vpd_group_b(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'PDBADMIN' then
		predicate_var := '1=2';
	elsif sys_context('userenv','session_user') = 'HR_MANAGER' then
		predicate_var :='1=2';
	end if;
	return predicate_var;
end vpd_group_b;
/


07:41:10 SQL> select * from t_policy_group_1;

G G G G
- - - -



Elapsed: 00:00:00.01
07:41:31 SQL> select sql_hash,sql_id,object_owner,object_name,policy_group,policy,policy_function_owner,predicate,con_id from v$vpd_policy;

  SQL_HASH SQL_ID	 OBJECT_OWN OBJECT_NAME 	 POLICY_GROUP	 POLICY 		    POLIC PREDICATE			     CON_ID
---------- ------------- ---------- -------------------- --------------- -------------------------- ----- ------------------------------ ----------
3402380368 6u8n4am5csd2h PDBADMIN   T_VPD_1		 SYS_DEFAULT	 VPD_POLICY_CONTEXT_T_VPD_1 SYS   col_a = '160' 			 12
 300597836 9rs92q08yphkc PDBADMIN   T_VPD_1		 SYS_DEFAULT	 VPD_POLICY_CONTEXT_T_VPD_1 SYS 					 12
 431025690 af8qz18cv1vhu PDBADMIN   T_VPD_1		 SYS_DEFAULT	 VPD_POLICY_CONTEXT_T_VPD_1 SYS   col_a = '160' 			 12
2508661550 bvvtchfasf8tf PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_A  POLICY_A		    SYS   1=2					 12
2508661550 bvvtchfasf8tf PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_B  POLICY_B		    SYS   1=2					 12
 716255473 b3tn5v0pb2c7j PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_A  POLICY_A		    SYS 					 12
 716255473 b3tn5v0pb2c7j PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_B  POLICY_B		    SYS 					 12

7 rows selected.

Elapsed: 00:00:00.15

######################################################
上面和下面作为对比
######################################################


create or replace function vpd_group_a(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'PDBADMIN' then
		predicate_var := '1=2';

	end if;
	return predicate_var;
end vpd_group_a;
/


create or replace function vpd_group_b(schema_var varchar2,table_var varchar2) 
return varchar2
is
predicate_var varchar2(80);
begin
	if sys_context('userenv','session_user') = 'HR_MANAGER' then
		predicate_var :='1=2';
	end if;
	return predicate_var;
end vpd_group_b;
/



07:41:42 SQL> select * from t_policy_group_1;

GROUP_A_COL1	     GROUP_A_COL2	  G G
-------------------- -------------------- - -
group_a_row1	     group a 20210120
group_a_row2	     group a 1553

Elapsed: 00:00:00.01
07:44:27 SQL> select sql_hash,sql_id,object_owner,object_name,policy_group,policy,policy_function_owner,predicate,con_id from v$vpd_policy;

  SQL_HASH SQL_ID	 OBJECT_OWN OBJECT_NAME 	 POLICY_GROUP	 POLICY 		    POLIC PREDICATE			     CON_ID
---------- ------------- ---------- -------------------- --------------- -------------------------- ----- ------------------------------ ----------
3402380368 6u8n4am5csd2h PDBADMIN   T_VPD_1		 SYS_DEFAULT	 VPD_POLICY_CONTEXT_T_VPD_1 SYS   col_a = '160' 			 12
 300597836 9rs92q08yphkc PDBADMIN   T_VPD_1		 SYS_DEFAULT	 VPD_POLICY_CONTEXT_T_VPD_1 SYS 					 12
 431025690 af8qz18cv1vhu PDBADMIN   T_VPD_1		 SYS_DEFAULT	 VPD_POLICY_CONTEXT_T_VPD_1 SYS   col_a = '160' 			 12
2508661550 bvvtchfasf8tf PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_A  POLICY_A		    SYS   1=2					 12
2508661550 bvvtchfasf8tf PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_B  POLICY_B		    SYS 					 12
 716255473 b3tn5v0pb2c7j PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_A  POLICY_A		    SYS 					 12
 716255473 b3tn5v0pb2c7j PDBADMIN   T_POLICY_GROUP_1	 POLICY_GROUP_B  POLICY_B		    SYS 					 12

7 rows selected.

Elapsed: 00:00:00.15
wgz7747147820
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
calc-vpdVPD(蒸气压不足)功能
02-10
VPD(蒸气压不足)功能 水蒸気圧= 6.1078 * 10 ^((7.5-気温/(気温+ 237.3))) 饱和水蒸気量= 217-水蒸気圧/(気温+ 273.15) 饱差=(100-相対湿度)*饱和水蒸気量/ 100 参考: : 安装 $ npm install calc-vpd...
论文研究-Oracle VPD-细粒度的权限设计方案 .pdf
08-15
Oracle VPD-细粒度的权限设计方案,翟慧鑫,邹仕洪,数据资源共享已经成为大家协同工作的基本要求,传统的数据库访问控制模式已经不能很好的保护数据安全,因此更细粒度的访问控制得
测试VPD 一个小例子
wgz7747147820的博客
01-20 341
首先创建一个vpd policy所用的function,一般情况下是要用application context,但是为了简便,就不用了,直接加个predicate就是了 create or replace function vpd_func1(schema_var in varchar2,table_var in varchar2) return varchar2 is return_var varchar2(80); begin return_var:='col_a=160'; return retu
Oracle VPD
chncaesar的专栏
01-20 5754
VPD = Virtual Private Database。同义词有RLS : Row Level Security, FGAC: Fine Grained Access Control。 用于行级访问控制。假设有需求,只有用户'SCOTT'能访问emp表所有记录,其他人只能访问manager以下员工的记录。 CREATE FUNCTION emp_policy(schema_in IN
Oracle VPD POLICY DBMS_RLS
weixin_34277853的博客
01-31 341
背景:最近某公司在ERP做库存领料时,发现选择物料后报错: 用户退出意外错误(1),来自 QT_EU.Create 结构树。此form界面为客户化,错误来自查询现有量信息。分析问题:遂查询该物料现有量,输入物料后发现,现有量是有的,但可用性界面各数量均为空。 这问题很奇怪,去追查该form数量赋值逻辑,发现调用了现有量查询的标准API。c...
测试vpd 和 application context
wgz7747147820的博客
01-20 179
17:42:09 SQL> create or replace context application_context_test_1 using application_context_test_1_pkg; Context created. Elapsed: 00:00:00.01
Oracle Virtual Private Database(VPD)初体验
Lumen专注Oracle EBS
02-02 912
前几周初略学习了OracleVPD技,做了几个试验,也在EBS系统上测试了一下。总结如下,有些内容摘自网络。 在数据库的数据安全访问的解决上,有很多的方法来解决权限的问题,常用的方法例如建立视图的方法控制,例如查询语句中加where语句来控制。用view的方法在表结构或者权限变更的时候很不容易操作,编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,
vpd.rar_vpd pci
09-22
4. 测试驱动程序,确保能正确读取和解释VPD信息,并且不影响系统的稳定性和性能。 5. 最后,如果一切顺利,这个驱动程序可以通过Linux内核的版本控制系统(如Git)提交,供社区审核和合并到主线内核。 总的来说,...
vpd列级权限控制举例
07-15
在 HR 用户下,我们创建了一个测试表 `policy_tab_test2` 并插入了一些数据。然后,我们创建了两个测试用户 `test20` 和 `test30`,并赋予他们访问 `hr` 用户下的 `policy_tab_test2` 表的权限。默认情况下,这两个...
vpd:视频播放器守护进程
06-08
"vpd: 视频播放器守护进程" 是一个针对物联网(IoT)环境而设计的项目,它的核心目标是提供一个简洁、高效且可靠的视频播放解决方案。该项目借鉴了音乐播放器守护进程(mpd)的设计理念,将视频播放功能集成到后台服务中...
ORACLE安全加固篇
Cairo960918的博客
09-08 4119
oracle合规性设置,oracle安全加固
oracle实验记录 (精细策略dbms_rls)
cuiye1492的博客
07-28 305
实验开始SQL> select * from test; ID NAME---------- ---------- 1 xh 2 hr 3 cc...
Oracle Database 12c Security - 7. Controlled Data Access with Virtual Private Database
In-Memory Computing Technology
09-01 322
Virtual Private Database (VPD) INTRODUCTION TO VIRTUAL PRIVATE DATABASE VPD使用Row-Level Security (RLS) package DBMS_RLS实现。 VPD的范围是当前数据库。 How VPD Works 通过创建VPD policyVPD支持DML和SELECT,不支持DDL。 VPD返回VARCHAR2 predicate,并附着在where条件中。这样用户只能看到自己相关的数据。 VPD policy只能用
oracle访问控制策略查看,ORACLE 安全访问策略VPD与ORA-28132
weixin_39601743的博客
04-03 492
今天下午,开发同事反馈,某地市的医保oracle数据库执行存储过程报错,报错信息是ORA-28132:ERRORIS:ORA-28132:MERGEINTO语法不支持安全策略相关的sql语句如下:MERGE/*+parallel(4)*/INTODW_BILLBUSING(SELECTT1.HIS_ID,SUM(T1.DETAIL_DEDUCT_AMOUNT)AMOUNT...
ORACLE 安全访问策略VPD与ORA-28132
www_xue_xi的博客
11-14 1650
ORACLE 安全访问策略VPD使用不当导致应用程序SQL语句merge into报错ORA-28132
数据库细粒度访问
yangnuowei88的专栏
08-05 783
1,介绍 DBMS_RLS用于实现细粒度访问控制,Virtual Private Database (VPD)基于该功能实现,只在企业版中支持。 2,实现 基于动态谓词实现,即在解析SQL时动态增加安全规则。 (1)可以控制的操作:index,select,insert,update,delete --index? --select in join? --select->trigge
关于Oracle EBS R12 表格XLA_TRANSACTION_ENTITIES 的安全策略(VPD)组研究
samt007的Blog
11-07 5637
安全策略VPD技术是啥这里就不多说了,网上很多资料,说明很清楚的。这里说的是另外一个比较困惑的点: 对于一个(OBJECT_OWNER.)对象,如果同时存在多个安全策略组的设定,如何确定什么时候抓哪一个安全策略组的设定(WHERE CONDITION)? 例如,查询安全策略: ---安全策略: SELECT *   FROM dba_policies DBA WHERE dba.o
使用VPD解决EBS中信息屏蔽问题
专注Oracle EBS---低调的奢华
11-08 2567
<br />本文是采用Oracle VPD技术解决同一个OU下按照不同办事处屏蔽销售订单的解决方案。<br /> <br />VPD技术提供了数据库对象(表,同义词,视图)行级别访问的控制。关于VPD更多的信息不在此进行描述,可以查看Oracle Database Security Guide中的Using Virtual Private Database to Implement Application Security Policies章节。<br /> <br /> <br /> <br />一,业务
细粒度访问控制-VPD
ckrsktoni24621798的博客
04-26 270
1、创建测试环境conn sys/password as sysdbacreate user HJP identified by password default tablespace users temporary table...
vpd page83解析
最新发布
07-25
VPD(Vital Product Data)Page 83 是一种用于存储设备信息的数据页,通常用于存储硬件设备的详细规范和特性。以下是对 VPD Page 83 数据的解析步骤: 1. 获取 VPD Page 83 数据:您可以使用适当的工具或库来读取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值